La CNIL a infligé à CRITEO, spécialiste du reciblage publicitaire, une amende de 40 millions d’euros pour manquement à l’obligation de vérifier le consentement des utilisateurs concernant le traitement de leurs données. L’entreprise a été reconnue coupable de plusieurs violations du RGPD, notamment l’absence de preuve de consentement et une politique de confidentialité incomplète. CRITEO, qui suit la navigation de 370 millions d’internautes en Europe, doit désormais s’assurer que ses partenaires respectent les exigences de consentement et améliorer la transparence de ses pratiques de traitement des données.. Consulter la source documentaire.

Quelle est la sanction imposée à CRITEO par la CNIL ?

La CNIL a infligé à la société CRITEO une amende de 40 millions d’euros. Cette sanction a été principalement motivée par le fait que CRITEO n’a pas vérifié si les utilisateurs dont elle traite les données avaient donné leur consentement.

Cette amende souligne l’importance du respect des réglementations sur la protection des données personnelles, notamment le RGPD, qui impose des obligations strictes concernant le consentement des utilisateurs avant le traitement de leurs données.

Quelles sont les obligations de CRITEO en matière de consentement ?

CRITEO, en tant que prestataire de retargeting publicitaire, est tenu de s’assurer que ses partenaires ont obtenu le consentement des internautes avant d’installer des traceurs (cookies) sur leurs dispositifs.

L’article 7.1 du RGPD stipule que le consentement doit être donné librement, spécifiquement, informé et univoque. CRITEO doit donc non seulement vérifier que ce consentement a été obtenu, mais aussi conserver la preuve de ce consentement pour se conformer aux exigences de la CNIL.

Quelles violations du RGPD ont été identifiées par la CNIL ?

La CNIL a identifié cinq violations du RGPD par CRITEO. Ces violations incluent :

1. L’absence de preuve de consentement des utilisateurs.
2. Une politique de confidentialité incomplète et peu claire.
3. Le non-respect du droit d’accès des utilisateurs à leurs données.
4. L’inefficacité du processus de révocation du consentement et d’effacement des données.
5. L’absence d’accord clair entre les responsables conjoints de traitement.

Ces violations mettent en lumière les lacunes dans la gestion des données personnelles par CRITEO.

Comment CRITEO a-t-elle amélioré sa politique de confidentialité ?

Suite aux observations de la CNIL, CRITEO a mis à jour sa politique de confidentialité pour y inclure toutes les finalités du traitement des données.

Les informations manquantes ont été ajoutées, et des termes plus simples et compréhensibles ont été utilisés pour permettre aux utilisateurs de mieux comprendre comment leurs données sont utilisées. Cette transparence est essentielle pour respecter les articles 12 et 13 du RGPD.

Quelles mesures CRITEO a-t-elle prises concernant le droit d’accès des utilisateurs ?

CRITEO s’est engagée à fournir toutes les données personnelles qu’elle détient lors des demandes d’accès des utilisateurs.

Auparavant, l’entreprise ne fournissait que des données issues de certaines tables de sa base de données. Désormais, elle doit communiquer toutes les données pertinentes et fournir des explications claires pour aider les utilisateurs à comprendre le contenu des informations transmises.

Comment CRITEO gère-t-elle le droit de révocation du consentement ?

CRITEO a mis en place un système permettant aux utilisateurs de révoquer leur consentement facilement, notamment via un bouton « Désactiver les services Critéo » dans sa politique de confidentialité.

Cependant, il est important de noter que, jusqu’à récemment, l’entreprise ne supprimait pas l’identifiant attribué à l’utilisateur ni les événements de navigation associés. Cela a été un point de non-conformité avec les articles 7.3 et 17.1 du RGPD.

Quelles améliorations ont été apportées aux accords avec les partenaires de CRITEO ?

Les accords de CRITEO avec ses partenaires ont été renforcés pour inclure des clauses précises concernant les obligations de chaque partie en matière de protection des données.

Ces améliorations visent à garantir que les partenaires respectent les exigences du RGPD, notamment en ce qui concerne l’exercice des droits des utilisateurs, la notification des violations de données et la réalisation d’études d’impact lorsque cela est nécessaire. Ces changements sont conformes à l’article 26 du RGPD.